中国人寿公司层面内部控制评估培训（PPT92页）

中国人寿广东省分公司中国人寿公司层面内部控制评估培训1中国人寿广东省分公司主要内容：1、2006年404遵循工作计划及公司层面评估所处位置2、公司层面内控的重要性3、COSO的五大要素简介4、工作方法和步骤5、评估工作底稿的填写及注意事项2中国人寿广东省分公司第一部分2006年404遵循工作计划及公司层面评估所处位置3中国人寿广东省分公司六个阶段404遵循工作准备阶段内部控制自我评估阶段（流程层面、公司层面）管理层测试阶段（总公司对省公司，省公司对地市分公司）外部审计师审计阶段缺陷整改及验收阶段（贯穿整个过程）出具内部控制报告阶段4中国人寿广东省分公司重要提示：2006年内控评估工作与2005年是有很大区别的，不再是预演的概念，而是要在07年4月30日对外披露正式的内控评估报告。在评估报告中会包含今年所做的所有的404遵循工作的内容，而且要求将更加严格。5中国人寿广东省分公司1、工作准备阶段（2006年2月20日至2006年3月31日）制定省内标准化流程模版及广东省2006年404条款遵循工作实施方案，并做好前期的各项准备工作，组织404遵循工作培训，为遵循工作的顺利完成打下一个良好的基础。6中国人寿广东省分公司2、内部控制自我评估阶段（2006年3月6日至2006年4月30日）包括流程层面评估和公司层面评估。流程层面：省本级和各地市分公司开展穿行测试、控制测试、维护更新流程层面评估文档、汇总发现问题。公司层面：省本级和各地市分公司管理层回答公司层面评估调查问卷、进行公司层面内部控制测试，撰写公司层面评估文档，完成内部控制自我评估工作，并汇总发现问题。省公司职能部门对省本级及地市分公司的流程层面评估文档及控制测试情况进行重点审核。7中国人寿广东省分公司3、管理层测试阶段第一阶段：2006年3月1日至2006年4月30日第二阶段：2006年7月10日至2006年8月31日第三阶段：2007年1月1日至2007年2月28日总、省公司组成独立测试工作组，分三个阶段完成对省本级和地市分公司的管理层测试及补充测试工作，汇总并上报发现的所有控制缺陷。精品资料网（）8中国人寿广东省分公司4、外部审计师审计（2006年4月1日－2007年2月28日）配合外部审计师的审计工作，与外部审计师做好沟通交流，并及时汇总、上报评估信息。9中国人寿广东省分公司5、缺陷整改及验收阶段（2006年5月1日至2006年12月31日，初步确定5月至9月为分公司缺陷整改及验收工作集中开展期间，10-11月为省公司对全省的缺陷整改验收期间）这一阶段工作的根本目的在于弥补内部控制自我评估、管理层测试及外部审计师审计阶段发现的控制缺陷，从而使这些控制缺陷不对2006年内控评估报告产生重大影响。主要工作包括省公司本级和地市分公司汇总、上报、审批并落实缺陷整改计划，并对缺陷整改工作进行验收测试。由于缺陷整改是一个持续改进的过程，因此本阶段是整改－验收－再整改－再验收多次反复的过程。10中国人寿广东省分公司6、出具内控报告阶段（2007年3月1日至2007年4月30日）省公司汇总省本级和地市分公司内部控制评估报告，分析控制缺陷的影响（若存在尚未整改完毕的控制缺陷），上报总公司。11中国人寿广东省分公司对部分重要概念的释义：内部控制评估包括：自我评估、管理层测试内部控制自我评估包括：公司层面内部控制评估、流程层面内部控制评估管理层测试包括：公司层面内部控制评估、流程层面内部控制评估12中国人寿广东省分公司对部分重要概念的释义：1、公司层面内部控制自我评估：总公司、省本级及地市分公司需开展的，根据COSO五要素划分的，对公司整体层面的控制进行的评估，具体包括反舞弊、业绩信息分析、风险管理、人力资源管理等多项内容，主要通过回答调查问卷、访谈、审阅相关支持性文档等方式完成。13中国人寿广东省分公司2、流程层面内部控制自我评估：对与财务报告相关的财务、业务、IT流程进行的评估，主要工作文档包括流程图、流程及控制文档记录、风险控制矩阵、穿行测试文档、控制测试文档等，具体工作方式包括穿行测试、控制测试，总、省、市三级公司都需开展。对部分重要概念的释义：精品资料网（）14中国人寿广东省分公司自我评估和管理层测试二者区别：内部控制自我评估和管理层测试的主体不同。前者是指各部门、各单位在管理层测试前按照相同工作步骤先行对自己的内控情况进行一次评估和测试；后者是指总公司和省公司组成独立的测试工作组对所属部门、单位进行评估和测试。内部控制自我评估和管理层测试的时间点不同。前者的完成时间为2006年4月30日；后者则分为三个阶段，第一阶段是2006年4月11日-4月30日，第二阶段是2006年7月10日-8月31日，第三阶段是2007年1月1日-2月28日。对部分重要概念的释义：15中国人寿广东省分公司补充测试：由于404条款下，公司管理层需对2006年12月31日的内部控制有效性进行评估。因此，在2007年1至2月间，总、省独立测试工作组会对2006年最后一次内控测试时间至12月31日间的内部控制执行情况进行测试，称为补充测试。例如：2006年最后一次内控测试时间为9月31日对缺陷整改的验收测试，则补充测试期间为10月1日至12月31日。对部分重要概念的释义：16中国人寿广东省分公司第二部分公司层面内部控制的重要性17中国人寿广东省分公司公司层面内部控制评估的重要性公司层面内部控制评估是从控制环境、风险评估、控制活动、信息与沟通、监督等五个方面对公司的内部控制进行评估，通过对管理层的访谈和有关测试，对公司层面控制的有效性作出评估。18中国人寿广东省分公司公司层面的内部控制评估的重要性公司层面的内部控制对流程、交易或应用层面的内部控制有着广泛深入的影响。正因为如此，出于实际的考虑，管理层应首先测试并评估公司层面内部控制的设计有效性，其结果将会影响管理层对财务报告的内部控制其他方面的评估工作。另外，公司层面控制对预防、阻止和检查舞弊行为发挥着重要的作用。普华明确表示，若分公司公司层面评估结果存在重大缺陷，将会增加有关流程层面的评估工作。虽然公司层面的内部控制的文档记录和评估活动不能完整体现公司内控的全局，但评估公司层面的内部控制对于评估财务报告内部控制的整体有效性有着重大的影响及参考价值，因此公司层面内部控制评估是财务报告内部控制评估的重要起点。19中国人寿广东省分公司有别于个别的风险处理，公司层面的内部控制的整体评估可以落实到下列两个问题：1、管理层是否有建立一个良好的控制环境，确保员工自愿地遵循内部控制而非忽略或执行不当？2、公司是否设立了必要的控制机构来监督并改正不合规行为，该控制机构是否有效地运作？尽管仅针对企业层面内部控制的描述与评估本身还不足以为该企业内部控制整体评价提供佐证，但是，企业层面内部控制的描述与评估是针对该企业内部控制整体进行评估的重要起点，在企业层面内部控制的评估过程中识别的控制缺陷，往往会对该企业内部控制的有效性和财务报告的可靠性及合规性的整体评估产生重大影响。精品资料网（）20中国人寿广东省分公司第三部分COSO的五大要素简介21中国人寿广东省分公司COSO内控框架CommitteeOfSponsoringOrganizationsOfTheTreadwayCommission(COSO)由美国会计师协会、美国审计总署、美国内部审计师协会和管理会计师协会等7个团体共同赞助成立，专门研究内部控制问题；-保证财务报告的可靠性；-保证经营效益和效率；-对相关法律法规的遵循。22中国人寿广东省分公司SEC准则没有指定使用的评价框架，但是指出评价框架必须：客观允许公司在评估内部控制时在质和量的方面保持合理的，一贯的衡量尺度；足够完整，以保证可能导致有关公司内部控制有效性的结改变的相关因素不被忽视；与有关财务报表的内部控制评价相关准则指出美国COSO的框架符合以上要求23中国人寿广东省分公司公司层面的内部控制的定义根据COSO内控框架，公司层面的内部控制由以下五个部分组成：1.控制环境2.风险评估3.控制活动4.信息与沟通5.监督24中国人寿广东省分公司COSO内控框架控制环境控制环境反映了股东、董事会和管理层对内控重要性的认识和态度，同时也反映了管理层对财务报告的理念。财务报告的编制及其相关的内控都在公司控制环境中运作，所以，控制环境的好与坏直接影响公司处理数据出错或会计判断上出错的风险。主要包括：-公司纪律与架构、公司文化、员工风险意识-诚信原则和道德价值观、董事会/审计委员会成员的独立性等等功能单位业务单位控制环境风险评估控制活动信息与沟通监督25中国人寿广东省分公司COSO内控框架风险评估-风险评估是决定如何进行风险管理的基础。-风险评估是识别及分析那些可能影响公司达到其公司目标的事件或条件。-一套行之有效的内控系统是能让公司识别、分析和管理风险的机制。鉴于风险会随着环境及其他因素的改变而发生变化，风险评估及恰当的判断对于有效控制风险发挥着关键作用。功能单位业务单位控制环境风险评估控制活动信息与沟通监督精品资料网（）26中国人寿广东省分公司COSO内控框架控制活动控制活动是一套帮助公司执行管理层规则的政策和程序。控制活动包括制定政策及相关的实施步骤，为管理层提供正确导向，以完成公司目标。控制活动存在于公司内的各个阶层和职能间。功能单位业务单位控制环境风险评估控制活动信息与沟通监督精品资料网（）27中国人寿广东省分公司COSO内控框架信息与沟通-信息与沟通是获取和交换信息的程序，以使公司能够正常运行，并得到适当的管理及控制。-信息与沟通是指获取并向适当的人员提供其履行职责所必需的信息，包括其与财务报表层次的内部控制有关的个人角色及职责认定。-记录信息系统的整体环境，交流及监督控制是否足够、完善。功能单位业务单位控制环境风险评估控制活动信息与沟通监督28中国人寿广东省分公司COSO内控框架监督监督是对一定时期内内部控制执行质量的评价程序，考虑相关内部控制是否能够满足最初设计的目标，并保证在不同情况下进行适当的修改。考虑并记录是否定期对内部控制进行评价；管理当局是否采纳内部和外部审计师关于内部控制的建议；是否存在内部审计部门以协助管理当局进行监督。功能单位业务单位控制环境风险评估控制活动信息与沟通监督29中国人寿广东省分公司公司层面内部控制调查问卷安永根据COSO框架对内部控制公司层面的五个考虑要素进行了总结与分析，汇总形成了公司层面应考虑的12个关键控制领域：A员工行为守则B反舞弊程序C人力资源程序D风险识别、评估与管理E经营计划与经营业绩分析F内部审计G审计委员会及董事会H管理层基调与态度I公司政策与流程J内部控制活动K信息与沟通L投资策略与管理这12个关键控制领域与中国人寿的外部审计师-普华永道会计师事务所针对公司层面控制审计的范围要求基本一致。精品资料网（）30中国人寿广东省分公司关键控制领域与COSO的关系：31中国人寿广东省分公司公司层面内部控制调查问卷的范围：√：为此次公司层面内控测试中需要考虑的部分32中国人寿广东省分公司第四部分工作方法和步骤33中国人寿广东省分公司公司层面整体评估主要是通过调查问卷及访谈的方式，针对公司的内部控制环境和控制活动等，在宏观层面上对公司的内部控制进行了解和评价，以便管理层能尽早发现和反馈问题，并采取相应改进措施。404条款遵循工作的焦点在于财务报告内部控制，他不仅要求内部控制的设计有效性，还强调留下内部控制有效运行的证据。因此除了对问卷的问答和填写外，还要求提供所有证明内控有效运行的书面证据。34中国人寿广东省分公司根据内部控制五要素各个方面问题性质的不同，将其划分到各个职能部门，形成分部门的公司层面评估问卷。由各部门负责人出具本部门的评估问卷，由评估小组组织人员汇总出具公